隱形攻擊新突破:高級(jí)規(guī)避技術(shù)

責(zé)任編輯:FLORA

2012-01-31 09:02:25

摘自:至頂網(wǎng)

Stonesoft: 簡單的講,傳統(tǒng)意義上用來繞過IDS/IPS 設(shè)備的規(guī)避技術(shù)所涉及的具體操作都是針對(duì)OSI模型中的某一層的。比如在IP層,有一種技術(shù)會(huì)制造出數(shù)據(jù)包碎片,通過大量的碎片來影響IPS設(shè)備

Wikipedia有一個(gè)關(guān)于"入侵監(jiān)測系統(tǒng)規(guī)避技術(shù)"的詞條:

“規(guī)避這個(gè)術(shù)語是用來描述一種能夠繞過信息安全設(shè)備進(jìn)行入侵,攻擊或植入惡意軟件到目標(biāo)網(wǎng)絡(luò)或系統(tǒng)而不被發(fā)現(xiàn)的技術(shù)。”

早在1998年就有人提出規(guī)避技術(shù),而如今已經(jīng)過去這么多年了。更重要的是,現(xiàn)在有了AET(Advanced Evasion Technique)。

高級(jí)規(guī)避技術(shù)

NSS Labs的CEO Rick Moy講述了講述的有關(guān)AET的內(nèi)容:

“規(guī)避技術(shù)可以讓攻擊者在面對(duì)安全軟硬件產(chǎn)品時(shí)偽裝或隱藏其攻擊行為。AET則是一種復(fù)合型的規(guī)避技術(shù),更難以被察覺。

AET 目前更多的還只是一種銷售上的術(shù)語,所以在技術(shù)領(lǐng)域流傳的并不廣泛。盡管如此,由AET發(fā)動(dòng)的攻擊確實(shí)存在。企業(yè)應(yīng)該對(duì)此給予足夠的重視。

NSS 已經(jīng)對(duì)規(guī)避技術(shù)進(jìn)行了多年的測試,而今年測試的重點(diǎn)就是AET。”

Rick表示 NSS Labs已經(jīng)做了大量有關(guān)AET的測試,而且通過側(cè)面了解,Rick所測試的產(chǎn)品是來自 Stonesoft.com公司的 ,Stoneoft公司專門進(jìn)行有關(guān)AET的研究工作。

記者: “規(guī)避技術(shù)”這個(gè)術(shù)語并不被經(jīng)常提起,對(duì)于Stonesoft來說,這個(gè)術(shù)語意味著什么呢?

Stonesoft: 從技術(shù)上講,規(guī)避技術(shù)正如Rick 所說的,是一種方法或手段,它是通過一種特殊的方式將攻擊偽裝起來,避免被IPS或IDS監(jiān)測到,同時(shí)還能夠?qū)μ囟繕?biāo)發(fā)動(dòng)特定攻擊。

更重要的是,規(guī)避技術(shù)體現(xiàn)出IPS/IDS研究領(lǐng)域的一個(gè)巨大疏漏,因?yàn)镮PS/IDS 更多的是將注意力放在了所謂的“零日攻擊”,蠕蟲以及其它可以比較簡單就被識(shí)別的攻擊。Stonesoft之所以如此重視規(guī)避技術(shù),是因?yàn)榭紤]到黑客的攻擊動(dòng)機(jī)(金錢),要規(guī)避IPS的監(jiān)測并沒有那么難。

對(duì)于黑客來說,與攻擊成功后獲得的巨大經(jīng)濟(jì)利益相比,前期投入一些資金和精力,開發(fā)一套自動(dòng)化的融合多種規(guī)避技術(shù),可以有效規(guī)避IPS/IDS 監(jiān)測的工具,是非常值得的。因此Stonesoft愿意花時(shí)間和精力來研究規(guī)避技術(shù),并將研究成果在技術(shù)社區(qū)內(nèi)與大家分享。

記者: 您是說IDS和IPS是目前對(duì)付主流規(guī)避技術(shù)的主要手段嗎?這些系統(tǒng)有效嗎?

Stonesoft: 是的。 IPS/IDS設(shè)備就是用來防止和預(yù)防攻擊的。這類設(shè)備的職責(zé)就是檢查流經(jīng)的數(shù)據(jù),并判斷其中是否攜帶了攻擊傾向的數(shù)據(jù)。有些攻擊數(shù)據(jù)在嘗試隱藏自身時(shí),會(huì)使得數(shù)據(jù)流看上去不正常,或者有些混亂。

在大多數(shù)情況下, IPS/IDS設(shè)備都能正確的檢測出這些異常,只要攻擊者所采取的規(guī)避技術(shù)不會(huì)超越傳統(tǒng)規(guī)避技術(shù)太多。但是,如果攻擊者采用了多層級(jí)的規(guī)避技術(shù),那么IPS/IDS設(shè)備的檢測效果就會(huì)大打折扣。

記者: 我讀到過一份報(bào)道,介紹2010年Softstone曾經(jīng)進(jìn)行過一項(xiàng)獨(dú)特的挑戰(zhàn)。你們的開發(fā)團(tuán)隊(duì)決定成為規(guī)避技術(shù)的專家,從而進(jìn)行更深入的研究,找出反規(guī)避技術(shù)的能力。目前這個(gè)項(xiàng)目怎么樣了?

Stonesoft: 我們對(duì)我們的發(fā)現(xiàn)都感到驚訝。建立一個(gè)高級(jí)規(guī)避系統(tǒng)所需要的工具在每個(gè)黑客手里都有,而且,只需要將常見的規(guī)避工具簡單的組合,就能有效的繞過如今市場上大部分IPS/IDS 系統(tǒng)的檢測。

這個(gè)事實(shí)讓我們開始研究該如何改進(jìn)IPS/IDS 設(shè)備,以及如何進(jìn)行規(guī)范化的長期發(fā)展。我們的研究揭示了當(dāng)前主流IPS/IDS 設(shè)備存在的不足,而這些不足肯定會(huì)影響客戶的安全預(yù)期,應(yīng)該被立刻加以彌補(bǔ)。因?yàn)榻疱X是一個(gè)很強(qiáng)大的動(dòng)力,因此黑客肯定不會(huì)停止對(duì)高級(jí)規(guī)避技術(shù)的利用。

記者: 聽說在研究過程中, Stonesoft的研究人員總共發(fā)現(xiàn)了23中所謂的高級(jí)規(guī)避技術(shù)(AET)。那么這些技術(shù)之間有什么差別么?

Stonesoft: 簡單的講,傳統(tǒng)意義上用來繞過IDS/IPS 設(shè)備的規(guī)避技術(shù)所涉及的具體操作都是針對(duì)OSI模型中的某一層的。

比如在IP層,有一種技術(shù)會(huì)制造出數(shù)據(jù)包碎片,通過大量的碎片來影響IPS設(shè)備,導(dǎo)致IPS設(shè)備無法正常識(shí)別混雜在數(shù)據(jù)包碎片中的攻擊數(shù)據(jù)。好在這種技術(shù),包括其他類似的技術(shù)已經(jīng)被安全防護(hù)系統(tǒng)廠商知曉并開發(fā)出了應(yīng)對(duì)產(chǎn)品。

與之不同,AET同時(shí)涉及到多個(gè)OSI模型層中的不同規(guī)避技術(shù)。比如在TCP層分組一個(gè)數(shù)據(jù)包,然后再另一個(gè)模型層將接收端能看到的數(shù)據(jù)順序進(jìn)行逆反。

當(dāng)使用一個(gè)規(guī)避技術(shù)時(shí), IPS/IDS 設(shè)備能夠?qū)⑵浒l(fā)現(xiàn)并截獲。但是當(dāng)多個(gè)規(guī)避技術(shù)應(yīng)用在相同的數(shù)據(jù)包時(shí), IPS/IDS 沒有足夠的時(shí)間對(duì)其進(jìn)行分析辨別,也就是無法對(duì)其進(jìn)行標(biāo)準(zhǔn)化。當(dāng)一個(gè)數(shù)據(jù)包無法被恰當(dāng)?shù)臉?biāo)準(zhǔn)化,即IPS/IDS無法為其添加頭尾標(biāo)記時(shí),根據(jù)IPS/IDS的設(shè)計(jì)規(guī)則,IPS/IDS必須對(duì)這個(gè)數(shù)據(jù)包放行,也就是允許惡意數(shù)據(jù)流通過。如果說防火墻默認(rèn)設(shè)計(jì)是拒絕,那么IPS/IDS的默認(rèn)設(shè)計(jì)就是通過。

方便大家參考,我將OSI模型列出來:

· Layer 7: 應(yīng)用層 (協(xié)議舉例: HTTP, SMTP)

· Layer 6: 表示層 (協(xié)議舉例: ASCII)

· Layer 5: 會(huì)話層 (協(xié)議舉例: MSRPC)

· Layer 4: 傳輸層 (協(xié)議舉例: TCP)

· Layer 3: 網(wǎng)絡(luò)層 (協(xié)議舉例: IP)

· Layer 2: 數(shù)據(jù)鏈路層 (協(xié)議舉例:ARP)

· Layer 1: 物理連接層

單獨(dú)對(duì)于任何一個(gè)模型層的操作都會(huì)被IPS/IDS識(shí)別和捕獲。而創(chuàng)造性的對(duì)多個(gè)層進(jìn)行操作,IPS/IDS就無計(jì)可施了。如果攻擊者能夠創(chuàng)建這樣的數(shù)據(jù)包,使得IPS/IDS沒有能力對(duì)其進(jìn)行檢測(標(biāo)準(zhǔn)化),那么他就可以將惡意數(shù)據(jù)繞過IPS/IDS進(jìn)行傳輸。

記者: Stonesoft會(huì)根據(jù)這個(gè)研究成果做什么措施呢?安全社團(tuán)對(duì)于你們的研究成果有什么反饋?

Stonesoft: 從去年開始,我們就聯(lián)合CERT,公布我們測試完成的規(guī)避技術(shù)范例。我們之所以這樣做是為了推動(dòng)安全社團(tuán)重視到當(dāng)前IPS/IDS 設(shè)備存在的弱點(diǎn),即多次使用規(guī)避技術(shù)的數(shù)據(jù)包無法被IPS/IDS 設(shè)備識(shí)別這個(gè)弱點(diǎn)。

而對(duì)于我們的研究成果,安全社團(tuán)主要分兩種態(tài)度,一種是懷疑,另一種是關(guān)心。有些廠商認(rèn)為AET是難以實(shí)現(xiàn)或根本不可能實(shí)現(xiàn)的,而另一些廠商認(rèn)為邏輯上講,黑客在利益的驅(qū)動(dòng)下,接下來就會(huì)大規(guī)模的應(yīng)用這種技術(shù)。

很多人都曾經(jīng)問我,現(xiàn)實(shí)中AET的利用率是不是很高。我只能說,根據(jù)黑客的本性,以及這種機(jī)制難以發(fā)現(xiàn)的特性,很可能AET已經(jīng)被部分黑客利用。因此,我們覺得對(duì)于這個(gè)領(lǐng)域的研究是值得的,并且希望能為行業(yè)帶來最有效的防護(hù)研究成果。

總結(jié)

雖然是頭一次聽到這個(gè)所寫,但是不管我們喜不喜歡他,AET確實(shí)是存在的。而且,直到IDS/IPS廠商能夠解決這個(gè)難題之前,我們都要格外留意自己的網(wǎng)絡(luò)安全。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)